유럽 항공기 제조사인 에어버스는 28일 성명을 내고 "급격한 고도 하강문제가 발생한 A320 계열 항공기 6,000 대에 대한 소프트웨어 교체를 지시했다"고 밝혔다. 이 여파로 세계 곳곳에서 항공편 지연과 결항이 있따르고 있다.
에어버스 A320 계열 항공기는 지난 수십 년간 글로벌 항공 산업의 주춧돌로 자리매김해 왔다. 하지만 최근 전 세계 6,000여 대의 항공기를 대상으로 긴급하게 발령된 대규모 리콜 사태는, 현대 항공기가 기계적 결함이 아닌 순수한 디지털 취약성 때문에 치명적인 위험에 노출될 수 있음을 극명하게 보여준다. 이 문제는 단순한 소프트웨어 버그를 넘어, 항공 산업의 근간을 이루는 '플라이-바이-와이어(Fly-by-Wire, FBW)' 시스템 아키텍처의 설계 한계와 새로운 우주 환경 위협의 복합적인 산물이다.
A320에서 관찰된 '원치 않는 급강하(Uncommanded Descent)'는 근본적으로 두 가지 상이한 소프트웨어 결함 경로를 통해 발생한다. 하나는 센서 데이터의 판단 오류에서 비롯된 오래된 ‘논리적 결함’이며, 다른 하나는 우주 방사선에 의해 비행 제어 데이터 자체가 손상되는 최근의 ‘데이터 무결성 결함’이다. 두 메커니즘 모두 조종사의 의지와 무관하게 항공기의 피치(기수 상하 움직임)를 통제하려는 소프트웨어의 능동적인 작동 오류로 인해 발생한다.
제트블루 사고: 태양풍이 엘리베이터 컴퓨터를 강타하다
가장 최근에 발생한 심각한 위협은 2025년 10월 30일 발생한 제트블루항공 1230편 사고 분석에서 드러났다. 당시 A320 항공기는 비행 중 갑작스럽고 원치 않는 고도 손실을 겪었고, 이로 인해 승객 수십 명이 부상을 입어 비상 착륙 후 병원으로 이송되는 초유의 사태가 발생했다.
초기 조사에서 이 급강하의 원인은 항공기의 주요 피치 제어 컴퓨터인 엘리베이터/에일러론 컴퓨터 2호기(ELAC 2)의 오작동으로 지목됐다. 에어버스는 사고 분석 후 결정적인 원인을 발표했는데, 그것은 “강렬한 태양 복사열이 비행 제어 기능에 중요한 데이터를 손상시킬 수 있다”는 것이었다.
고고도를 비행하는 항공기는 우주선(cosmic rays)이나 강력한 태양 플레어 폭발로 인한 고에너지 입자에 노출된다. 이 입자들이 핵심 항공전자 장치에 충돌하면, 디지털 구성 요소 내부에서 소위 ‘단일 사건 오류(Single Event Upset, SEU)’ 또는 '비트 플립(bit flip)'을 유발할 수 있다.
이 경우 엘리베이터/에일러론 컴퓨터(ELAC)는 조종사나 자동조종장치의 명령이 아님에도 불구하고, 손상된 데이터를 유효한 명령으로 해석하여 갑작스러운 기수 하강 피치 명령을 출력한다. 엘에이씨(ELAC)는 1차 피치 및 롤 제어를 담당하기 때문에 , 데이터 손상 메커니즘은 항공기의 안전 장치를 우회하고 가장 직접적으로 제어 시스템의 핵심을 공격하는 것이다.
에어버스는 이 문제가 자사 항공기 6,000여 대에 영향을 미칠 수 있다고 경고하며, 운용자 긴급 고지를 발령했다. 유럽항공안전청(EASA) 또한 항공기가 승객을 태우고 다시 비행하기 전에 소프트웨어 수정을 완료하도록 의무화하는 긴급 감항성 지침을 발표했다.
항공업계 관계자들은 이 수정 작업이 항공기당 약 2시간이 소요되는 ‘이전 안정 버전 소프트웨어로의 복귀’를 주로 포함하지만 , 전 세계적인 항공편 지연 및 취소를 유발하는 대규모 운영 혼란을 초래했다고 전했다. 세계 최대 A320 운용사인 아메리칸항공은 "EASA와 미 연방항공청(FAA)의 긴급 지침을 예상하고 즉각적인 조치를 취했으며, 대다수 항공기의 소프트웨어 업데이트를 완료할 것으로 예상한다"고 밝혔다.
XL888T: 다수결 원칙이 낳은 치명적인 논리적 결함
최근의 태양 복사열 문제와는 별개로, A320 급강하 위험은 과거에도 논리적 결함 형태로 존재했다. 2008년 XL 에어웨이즈 독일 888T편(D-AXLA) 사고는 이 시스템적 취약성을 극적으로 보여준다.
당시 A320은 정비 및 도색 작업 후 비행 점검 중이었다. 부적절한 세척 절차로 인해 물이 받음각(Angle of Attack, AoA) 센서 내부로 침투했고, 고고도 순항 중 이 물이 얼어붙어 세 개의 센서 중 1번과 2번이 고착되었다. 받음각 센서는 항공기의 실속을 방지하는 알파 보호 기능(αPROT)에 필수적인 데이터를 제공한다.
문제는 소프트웨어의 '다수결 투표 로직'이었다. A320 시스템은 세 센서 값 중 크게 벗어나는 하나의 값을 거부하도록 설계되어 있었는데, 고장 나서 고착된 1번과 2번 센서가 동일하고 정지된(static) 값을 제공하자, 컴퓨터는 이 두 개의 결함 있는 입력을 '참(True)'으로 간주했다. 반면 정상적으로 작동하여 동적 비행 데이터를 제공하던 세 번째 센서는 '비정상'으로 판단되어 시스템에서 거부되었다.
이로 인해 비행 제어 시스템은 실속 상황이 아님에도 불구하고 αPROT 임계값에 도달했다고 오판하여, 실속을 막기 위해 기수 하강 피치율을 명령했다. 이 치명적인 오작동은 궁극적으로 항공기를 모든 안전 보호 기능이 상실된 ‘다이렉트 법규(Direct Law)’로 전환시켰고, 조종사는 낮은 고도에서 실속에 극히 취약한 항공기를 수동으로 제어해야 하는 상황에 놓였다. 당시 사고는 부적절한 정비와 조종사의 낮은 고도 테스트 시도가 결합되어 치명적인 결과를 낳았지만, 그 근본적인 원인은 "일치하는 다수의 데이터는 유효하다"고 판단한 플라이-바이-와이어 소프트웨어의 논리적 결함이었다.
이후 에어버스는 강화된 받음각 모니터링 기능(ELAC L97+)을 구현하는 등, 두 개 이상의 센서가 고착된 상황을 더 잘 감지하기 위한 조치를 취했다.
디지털 아키텍처와 '제어 법칙'의 역설
A320은 조종사의 움직임이 기계적 링크를 거치지 않고 컴퓨터를 통해 비행 표면으로 전달되는 전자식 조종 시스템(FBW)에 전적으로 의존한다. 이 시스템은 비행의 대부분을 '정상 법규(Normal Law)'로 운영하며, 실속이나 과도한 기동을 방지하는 광범위한 비행 포락선 보호 기능을 제공한다.
그러나 기계적/전자적 고장이나, 앞서 언급된 바와 같은 소프트웨어 결함으로 인해 시스템에 공급되는 데이터가 손상되면, 비행 제어는 보호 기능이 축소된 '대체 법규(Alternate Law)'를 거쳐 궁극적으로는 어떤 보호 기능도 제공되지 않는 '다이렉트 법규(Direct Law)'로까지 저하될 수 있다. XL888T 사고처럼, 센서 오류가 '알파 보호'와 같은 핵심 기능을 오작동시켜 항공기를 보호하는 대신 급강하를 유발하는 경우, 시스템은 조종사의 의도를 거슬러 스스로 위험을 증폭시킨다.
최근의 태양 복사열 문제는 한 단계 더 나아간다. 이는 비행 제어 명령을 계산하고 실행하는 엘에이씨(ELAC) 컴퓨터의 내부 메모리를 직접적으로 손상시킴으로써 , 정상 법규의 방어 체계가 작동하는 상황에서도 원치 않는 명령이 생성될 수 있음을 입증한다. 자동조종장치(AP)가 여전히 작동 중일 때에도 엘에이씨(ELAC)의 오작동이 원치 않는 피치 움직임을 유발했다는 사실은 , 실패가 자동화 시스템의 모니터링 범위를 벗어날 정도로 빠르고 근본적이었음을 시사한다.
에어버스 A320 계열 항공기의 급강하 문제에 대한 심층 분석은 현대 항공 산업이 하드웨어의 견고함만큼이나 소프트웨어의 무결성을 보장해야 하는 시대에 접어들었음을 강조한다. 센서의 논리적 판단 오류를 극복하고, 고에너지 입자라는 새로운 환경적 위협으로부터 핵심 제어 시스템을 보호해야 하는 이중 과제는 항공기 제조업체와 운항사 모두에게 막대한 경제적, 기술적 부담을 안겨준다. 항공 시스템 설계는 이제 단순한 중복성을 넘어, 복합적인 타당성 검사 알고리즘과 함께 메모리 오류 정정 코딩(ECC)과 같은 방사선 내성 기술을 필수적으로 통합해야 한다. 항공기 안전의 역설은, 인간을 보호하기 위해 설계된 정교한 디지털 보호 시스템이 그 오류가 발생했을 때 가장 치명적인 위험의 원천이 될 수 있다는 사실에 놓여있다.
Copyright ⓒ 저스트 이코노믹스 무단 전재 및 재배포 금지
본 콘텐츠는 뉴스픽 파트너스에서 공유된 콘텐츠입니다.
